allow_request := true if {
    input.user.is_admin
    not input.path.is_restricted
}

allow_request := false if {
    input.path.is_restricted
}
